《孫子兵法》上說,知己知彼,百戰(zhàn)不殆���。在作戰(zhàn)過程中,如果能全面、準確掌握敵我雙方的的信息,就能夠打勝仗�����。在現(xiàn)如今在網(wǎng)絡空間中,攻守雙方的態(tài)勢更加錯綜復雜,攻擊者往往占據(jù)更加主動的位置,而利用威脅情報技術,提前洞悉攻擊者的動向,成為了改變攻守雙方態(tài)勢的重要路徑����。
因此有專家將威脅情報比作是新時代網(wǎng)絡安全的血液。奇安信集團總裁吳云坤在2019威脅情報生態(tài)大會曾表示,威脅情報是構筑積極防御能力體系關鍵,同時也將在縱深防御乃至基礎結構安全發(fā)揮重要作用�。
在2019北京網(wǎng)絡安全大會組委會近日公布的8場網(wǎng)絡安全技術沙龍日程中,筆者盤點了威脅情報與威脅分析相關的六個議題,先睹為快!
8月21日(大會第一日)
議題一:以《網(wǎng)空威脅框架》構建全流量監(jiān)測
■14:10國家會議中心C館308演講者:安賽CEO林榆堅
NSA/CSS在Kill Chain殺傷鏈和ATT&CK威脅建模等模型基礎上,于2018年發(fā)布了《網(wǎng)空威脅框架》。該框架的優(yōu)勢在于能從管理者宏觀角度出發(fā),明確定義攻擊者全生命周期內(nèi)的各種攻擊行為,在具體企業(yè)防護應用中具有極大的可操作性�����。目前,這一模型在國內(nèi)的應用剛剛起步�。
本議題將從該模型與技術創(chuàng)新的實踐成果出發(fā),對模型在全流量監(jiān)控中的實際應用和技術革新的指導意義進行論述,針對如何在超大流量背景中高效化存儲與分析、如何以雙向數(shù)據(jù)分析手段提高防護效率�����、如何提高實時檢測甚至預判攻擊行為并進行阻斷的可能性等問題,給出對應的策略思考與解決手段。
8月22日(大會第二日)
議題二:如何使用NTA檢測發(fā)現(xiàn)高級威脅
■ 14:10國家會議中心C館308演講者:山石網(wǎng)科營銷資深總監(jiān)賈彬
高級威脅具有長期潛伏��、瞬間爆發(fā)的基本特點,一次完整的高級威脅需要經(jīng)過滲透��、C&C���、擴散���、提權、實施等重要階段������;谔卣鲙斓膫鹘y(tǒng)安全技術難以有效檢測不同階段的不同威脅行為。但是高級威脅每個階段的網(wǎng)絡流量都會出現(xiàn)不同程度的變化,所以對于流量狀態(tài)變化的監(jiān)控是非常有效的檢測手段之一���。
作為2017年Gartner十大信息安全技術之一,本議題將詳細介紹如何利用NTA技術,針對于關鍵網(wǎng)絡區(qū)域的東西向和南北向的流量進行分析,檢測企業(yè)網(wǎng)絡中的可疑行為,尤其是失陷后的痕跡����。
8月23日(大會第三日)
議題三:基于kubernetes的流式威脅檢測平臺
■ 13:35國家會議中心C館311A演講者:華泰安全信息安全架構師邢驍
隨著底層計算平臺的不斷發(fā)展,機器學習���、UEBA等技術的興起,下一代SIEM也備受關注���。但是,如何在SIEM平臺中實現(xiàn)實時的事件關聯(lián)分析���、威脅精準定位�、安全噪音消除,仍然是眾多安全工作者的痛點。
本議題將介紹如何基于kubernetes搭建大數(shù)據(jù)安全檢測平臺,使平臺模塊化和微服務化,易于部署和擴展,幫助安全工作者快速落地實現(xiàn)各類需求��。此外,本議題還將介紹如何利用Flink流式引擎在海量數(shù)據(jù)中發(fā)現(xiàn)實時威脅,并對威脅進行場景化處理和性質分析���。最后,結合隱蔽隧道��、主機命令檢測等具體案例,介紹如何將規(guī)則��、基線和機器學習等方法在實戰(zhàn)環(huán)境中融合,以實現(xiàn)入侵的精準命中�����。
議題四:基于ATT&CK的APT跟蹤和狩獵
■ 14:10國家會議中心C館311A演講者:奇安信集團潘博文
APT的跟蹤和狩獵從來都不是一件容易的事情�。為了便于描述網(wǎng)絡攻擊和惡意代碼, STIX2.0標準中引入了攻擊和惡意代碼2個相對獨立的表述,攻擊采用capec,惡意代碼采用meac��。但是capec和meac過于晦澀,因此2015年發(fā)布了ATT&CK模型及建模字典,合并了capec和meac,便于表達和分享,實現(xiàn)安全自動化�。
本議題結合我們對APT威脅的研究基礎,探討ATT&CK在APT威脅場景下的落地方式,主要內(nèi)容包括:從APT威脅角度對ATT&CK框架的設計進行剖析;探討如何將ATT&CK攻擊技術框架應用到APT威脅分析中,并結合案例和系統(tǒng)日志層面,探討其落地的方式和思路;探討從ATT&CK角度分析APT組織的攻擊戰(zhàn)術技術手法和特點��。
議題五:實戰(zhàn)化下的全流量威脅發(fā)現(xiàn)實踐
■ 14:10國家會議中心C館307演講者:奇安信集團唐伽佳
網(wǎng)絡攻防演習是網(wǎng)絡安全中最能檢驗安全團隊防御能力的方式之一�����。在攻防演習中,作為防守方,面對“隱蔽”的網(wǎng)絡攻擊,如何才能有效防御呢?只有沿實戰(zhàn)化的攻擊路徑做縱深檢測才能全面應對“組織化”攻擊挑戰(zhàn)����。攻擊方在組織入侵攻擊時,常見的攻擊步驟為信息收集�、漏洞分析、滲透攻擊和后滲透攻擊等���。
本議題結合攻擊者的入侵路徑與攻擊方法,總結出了互聯(lián)網(wǎng)突破-威脅檢測,內(nèi)網(wǎng)拓展-威脅檢測,關鍵產(chǎn)品���、系統(tǒng)攻擊-威脅檢測方案,數(shù)據(jù)驅動的威脅分析能力體系等內(nèi)容以及相關實例。
議題六:情報驅動的網(wǎng)絡安全新生態(tài)環(huán)境
■ 13:00國家會議中心C館308演講者:天際友盟技術總監(jiān)謝廣坤
奇安信集團總裁吳云坤認為,威脅情報生態(tài)就是需要幫助生產(chǎn)者生產(chǎn)更優(yōu)質的情報,幫助消費者更好地利用情報����。
威脅情報在網(wǎng)絡安全解決方案中“知己知彼”的“知彼”一側發(fā)揮著重要作用,但是單獨依靠一家或者少數(shù)幾家威脅情報供應商,是絕對不夠的,威脅情報的共享使得網(wǎng)絡安全防護能夠有效利用外部情報進行針對性精準防護。因此,威脅情報的共享和生態(tài)建設是威脅情報利用的關鍵環(huán)節(jié)�����。本議題介紹了國際、國內(nèi)威脅情報標準的建設情況,從威脅情報共享與應用的角度解讀網(wǎng)絡安全生態(tài)環(huán)境的發(fā)展��。
京公網(wǎng)安備 11010502041587號